Backdoor in node-ipc su npm: pacchetti infetti rubano credenziali cloud e segreti DevOps al semplice require
Featured

Backdoor in node-ipc su npm: pacchetti infetti rubano credenziali cloud e segreti DevOps al semplice require

news Visite: 20

Ricercatori di cybersecurity hanno individuato codice malevolo in alcune versioni del pacchetto npm node-ipc, una libreria molto usata in ambiente Node.js. Le versioni coinvolte sono 9.1.6, 9.2.3 e 12.0.1 e contengono comportamento offuscato riconducibile a stealer e backdoor, con l’obiettivo di rubare segreti di sviluppo e credenziali cloud.

Il rischio è particolarmente elevato per team DevOps e sviluppatori che gestiscono pipeline CI/CD, chiavi di accesso e configurazioni sensibili su workstation e server di build.

Il malware si attiva quando il pacchetto viene caricato a runtime, quindi al semplice require di node-ipc, senza appoggiarsi a script di installazione come preinstall o postinstall. Il payload è inserito come IIFE alla fine del file node-ipc.cjs, rendendo l’esecuzione automatica e difficile da notare durante un audit superficiale. Una volta avviato, il codice effettua fingerprint dell’ambiente, enumera il sistema, legge file locali e raccoglie dati che vengono compressi e spezzati in blocchi prima dell’invio.

La raccolta include un ampio ventaglio di segreti, con decine di categorie di credenziali. Tra i dati potenzialmente esfiltrati figurano accessi per AWS, Google Cloud e Microsoft Azure, chiavi SSH, token Kubernetes, configurazioni GitHub CLI, impostazioni di strumenti di sviluppo e AI, file Terraform state, password di database e persino cronologia della shell. I dati vengono impacchettati in un archivio GZIP e inviati verso un dominio che imita infrastruttura Azure, usato come endpoint di comando e controllo.

Un aspetto avanzato della campagna è la presenza di un secondo canale di esfiltrazione basato su DNS. Il malware può forzare un resolver pubblico per aggirare controlli locali e poi inviare porzioni dei dati come record TXT, riducendo la visibilità per le organizzazioni che monitorano solo i resolver aziendali. Inoltre può staccarsi dal processo principale creando un processo figlio in background, così da continuare a operare anche dopo la chiusura dell’applicazione.

Mitigazioni consigliate
  • Rimuovere subito le versioni compromesse e reinstallare versioni note come pulite.
  • Ruotare tutte le credenziali potenzialmente esposte (cloud, SSH, token, CI/CD).
  • Controllare log di workflow e servizi cloud per attività anomale.
  • Verificare la catena di fornitura npm (dipendenze, lockfile, integrità).
  • Bloccare il traffico in uscita verso il dominio di esfiltrazione.